[发明专利]Android系统隐私数据恢复实现方法

说明书

技术领域

本发明涉及的是一种移动通信设备领域的方法，具体是一种Android系统隐私数据恢复实现方法，在Android系统上不借助文件系统信息进行隐私数据恢复。

背景技术

Ext4是一种针对ext3系统的扩展日志式文件系统，是专门为Linux开发的原始的扩展文件系统(ext或extfs)的第四版。现广泛的被以Android为代表的移动操作系统所采用。

以Android为代表的移动操作系统中存储了大量和用户有关的隐私数据，包括短信、联系人、电子邮件等。当搭载了这些操作系统的移动智能终端发生损坏时，如何保护这些数据不丢失则是一个非常重要的问题。

目前常见的Ext4系统的数据恢复技术均是依赖于Ext4文件系统的journal特性，当该特性被关闭或者磁盘内有关journal的数据被破坏的情况下，传统的数据恢复技术就失效了。

针对这样的问题，我们提出一种不依赖于文件系统信息、专门针对Android系统内部隐私数据的数据恢复技术。

经过对现有技术的检索发现，中国专利文献号CN103064764A公开(公告)日2013.04.24，公开了一种快速恢复安卓手机删除信息的取证方法，它首先提取出手机中的用户数据文件的可直接查看信息，然后根据该可直接查看信息获取数据库表结构的存储特征，并进一步分离出数据库中的未使用空间；再在未使用空间中尝试匹配正常记录的特征，并对匹配到的数据进行验证，获取已经删除的记录，然后结合该记录的字段长度定义，将其后的数据进行分割，以还原其各主要字段的内容，最后将还原出来的数据与正常记录进行对比，通过逻辑判断后添加到记录列表中；继续匹配未使用空间中，直到所有的未使用空间都处理完毕。但该技术要求被恢复的手机系统能够正常运行，并且事先进行了root操作，这在很多新版的Android手机上难以实现。同时该现有技术仅能够恢复SQLite数据库内部的数据记录，无法完整恢复数据库文件和数据库内部的表、索引等重要的数据结构。此外，该现有技术对删除数据的恢复依赖于对Android设备中现有数据的学习，无法恢复未知格式的数据库记录。

发明内容

本发明针对现有技术存在的上述不足，提出一种Android系统隐私数据恢复实现方法，在ext4文件系统journal等文件系统相关信息受损的情况下，通过对隐私数据特征的分析，从非结构化的Android磁盘原始数据中进行数据恢复。

Android系统中的隐私数据，包括但不限于短信、联系人、电子邮件、系统设置、日历以及密钥链，均是以SQLite3数据库文件的形式存放在ext4文件系统中，SQLite3数据库文件是一种典型的结构化文件，文件内部不同部分之间相互关联，具有明显的可提取结构特征。同时Android系统中SQLite3数据库文件存放的是具有明显语义信息的隐私数据，所以从语义分析的角度也能够提取可以利用的特征。

本发明是通过以下技术方案实现的，本发明通过对无法获得文件系统信息的磁盘镜像进行数据块划分，然后依次从数据块中提取出结构特征和语义特征，并进一步筛选出SQLite3文件头数据块和SQLite3页数据块，经分割重组恢复出原始文件。

本发明具体包括以下步骤：

1)在无法获得文件系统信息的情况下，磁盘镜像很可能是受损的，首先要做的是通过对原始数据的分析，对原始数据进行数据块的划分，具体步骤包括：

1.1)在原始数据寻找常见的文件格式头，如APK包头、PDF文件头、SQLite3文件头等比较明显的文件头。

1.2)定位较多的文件头之后，以这些文件头为基准对原始数据进行对齐，以文件头的起始偏移作为一个数据块的起点。

1.3)以4KB大小对整个原始数据进行划分，不足4KB的部分作为无法利用的数据块并抛弃。

2)根据需要恢复的隐私数据文件，从数据块中提取出用于恢复隐私数据文件的结构特征、语义特征，具体步骤包括：

2.1)根据SQLite3数据库文件的固定格式，利用内建结构特征库，提取出上下文无关的页结构特征，然后利用内建结构库，提取出上下文相关的SQLite3文件结构特征；

所述的页结构特征包括但不限于：SQLite3文件头格式或SQLite3页内部链表结构等。

所述的SQLite3文件结构特征包括但不限于：SQLite3页树状结构或SQLite3指针页等。

2.2)根据要具体恢复的隐私数据类型，利用内建结构特征库，提取出上下文无关的数据记录结构特征。